Anu*_*shi 5 in-app-purchase ios auto-renewing
当我们配置Server-to-Server Notifications 时,我们在 App Store Connect 中指定我们安全服务器的 URL,Apple 服务器在该 URL 上进行通信。但是有没有办法验证这个请求?
在没有身份验证的情况下保持 url 打开是不安全的
在 PlayStore 的情况下,我们可以使用 GOOGLE_DEVELOPER_API_KEYFILE_JSON 进行身份验证,但如何为 iOS 服务器-服务器通知执行此操作?
正如评论已经澄清的那样,没有内置的方式。
所以,这是我解决这个问题的方法。
Apple 发送password的通知是应用程序密钥,理想情况下应该只有 API 和 Apple 知道。
为了验证来自应用程序的收据,它password必须已经存储在 API 中的某个位置(配置?)。
所以我建议检查一下password请求中的内容是否与我们API中存储的内容匹配?
如果是,那么这是一个有效的请求。
如果不是,那么它可能是由黑客发送的。
我唯一关心的是这个应用程序共享密钥会password改变吗?由苹果公司还是开发商开发?如果不是,这就是解决方案。
| 归档时间: |
|
| 查看次数: |
534 次 |
| 最近记录: |